恶意行为

  • 不犯法

    爬虫行为和恶意抓取、资源盗用

    1. 基础防盗链 referer_module
    2. secure_link_module 对数据进行加密验证和时间失效
    3. access_module 对后台、部分用户服务的数据进行 ip 防控

应用层攻击手段

  • 犯法

    后台密码撞库

    • 提高后台登录密码复杂度
    • access_module 对后台提供 ip 防控
    • 预警机制

文件上传漏洞

  • 利用可以上传的接口将恶意代码植入服务器中,再通过 url 去访问执行代码
    • 对文件后缀等进行判断

SQL 注入

  • 利用未过滤 / 未审核用户输入的攻击方法,让应用允许本不应该允许的 SQL 代码

nginx 防攻击策略